Skip to content

¿HTTPS previene por completo los ataques de hombre en el medio?

Respuesta breve

No por sí solo. HTTPS previene el MITM solo cuando la validación del certificado se exige estrictamente y el cliente llega al sitio por HTTPS desde el principio. Si una CA fraudulenta es de confianza (proxy corporativo, raíz instalada por malware), si el usuario pasa por alto las advertencias de certificado, o si el SSL stripping degrada la conexión a HTTP antes de que arranque TLS, un atacante todavía puede situarse en el medio.

El «sí, HTTPS detiene el MITM» dicho con seguridad es la trampa. HTTPS está diseñado para detener el MITM, pero sus garantías dependen de supuestos que los atacantes del mundo real rompen habitualmente.

Cuándo HTTPS sí previene el MITM

Si el cliente valida la cadena de certificados hasta una CA en la que confía genuinamente, y el certificado coincide con el nombre de host, entonces un atacante en la ruta no puede suplantar al servidor ni leer el tráfico. Ese es el caso previsto y sólido, y normalmente se cumple.

Las tres formas en que falla

  1. Una CA fraudulenta pero de confianza. Los proxies corporativos de inspección TLS y algún malware instalan su propio certificado raíz en el almacén de confianza. Ahora el atacante puede acuñar un certificado de aspecto válido para cualquier sitio y el navegador no muestra advertencia. La confianza es todo el cimiento; subvierte el almacén de confianza y HTTPS se vuelve transparente para el atacante.
  2. Advertencias ignoradas. Si la validación falla y el usuario hace clic en «continuar de todos modos», ha aceptado manualmente el certificado del atacante. Defensas como HSTS existen precisamente para eliminar esa opción de continuar a la fuerza.
  3. SSL stripping. La primera petición de la víctima suele ser HTTP simple. Un atacante en la ruta la intercepta y mantiene al usuario en HTTP, hablando HTTPS solo con el servidor real. TLS nunca se establece con la víctima, así que no hay nada que romper. HSTS y las redirecciones solo-HTTPS mitigan esto.

Defensas en capas

HSTS (forzar HTTPS, sin continuar a la fuerza), el fijado de certificados, y la monitorización de CA (registros CT) fortalecen la base.

Qué buscan los entrevistadores

Un «no, no por sí solo» matizado, nombrando al menos el SSL stripping y el problema de la CA fraudulenta, e idealmente HSTS/fijado como respuesta de fortalecimiento. El absolutismo es el modo de fallo.

Posibles preguntas de seguimiento

  • ¿Cómo funciona el SSL stripping y qué lo defiende?
  • ¿Por qué es tan peligrosa una CA raíz de confianza comprometida?
  • ¿Qué añaden HSTS y el fijado de certificados sobre el HTTPS simple?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.